인라인 TLS 암호 해독 및 암호화

TLS/SSL active SSL

모든 암호화된 트래픽에 대한 완벽한 가시성을 통해 네트워크 보안

이미 이 제품을 보유하고 계십니까? 기술 지원 방문

키사이트의 인라인 암호 해독

대부분의 트래픽이 암호화되고 그 경로에 임시 키를 사용하는 것이 지배적인 기술이 되면서 조직들은 TLS(Transport Layer Security) 1.3의 이점을 유지하면서 동시에 네트워크와 사용자를 보호하기 위해 트래픽에서 위협과 맬웨어를 검사할 수 있는 방법을 찾게 되었습니다.

조직에서 SecureStack 기능 세트에 추가된 키사이트의 인라인 암호 해독 기능을 사용하면 가시성 플랫폼을 통해 임시 키 암호화를 사용하는 내부 트래픽을 확인할 수 있습니다. 키사이트의 인라인 암호 해독 기능은 아웃바운드 트래픽과 인바운드 트래픽 모두에 사용할 수 있으며 NetStack, PacketStackAppStack 기능과 동시에 사용할 수 있습니다. 인라인 암호 해독 기능은 고성능 무손실 가시성을 제공하는 턴키 네트워크 패킷 중계기들인 Vision ONE™ 및 Vision X와 호환되는 별도의 고성능 어플리케이션 모듈을 통해 사용할 수 있습니다. 전용 암호화 프로세서를 사용하는 인라인 암호 해독 기능은 가시성 솔루션과 통합된 최고의 스루풋을 제공합니다. 또한 정책 관리, URL(Uniform Resource Locator) 분류, 모든 주요 암호에 대한 지원 및 보고 기능도 내장하고 있습니다.

보안 딜레마

SSL 통계

조직들은 전체 조직 및 개별 사용자 보호(특히, 신용카드 번호, 주민등록번호 등의 민감한 정보 보호)를 위해 인터넷을 통한 데이터 전송을 암호화합니다. 2017년 기준으로 FirefoxGoogle의 브라우저를 통해 방문한 사이트의 75% 이상이 트래픽을 암호화하는 것으로 나타났습니다. 암호화는 신원 도용, 보안 침해 및 데이터 유출을 방지하는 데 도움이 됩니다. 하지만 트로이 목마와 마찬가지로 암호화가 맬웨어 및 기타 위협이 네트워크에 침투하는 방법이 될 수도 있습니다. Gartner는 2020년까지 60%가 넘는 조직에서 하이퍼텍스트 전송 프로토콜 보안(HTTPS)을 효율적으로 해독하지 못해서 "웹 맬웨어 표적을 대부분 놓칠 것"이라고 전망합니다. 게다가 해커들이 점점 더 영리해지고 일부 형태의 암호화는 더 취약해지고 있습니다.

이 딜레마에 대한 해결책은 이중 보안입니다.

  • 공격하기 어려운 암호화 기술 사용
  • 조직의 보안 및 모니터링 정책의 일환으로 암호화된 모든 트래픽에 가해지는 위협 검사

임시 키를 활용 이유

일반적으로 "SSL"이라고 부르는 SSL(Secure Sockets Layer)과 TLS(Transport Layer Security)는 모두 컴퓨터 네트워크를 통한 통신을 보호하기 위해 데이터를 스크램블하거나 "인코딩"하는 기술입니다. 오른쪽 그림과 같이, 이 기술은 기본적으로 공개 키(서버에서 제공)를 통해 코딩되고 인터넷을 통해 전송되는 정보를 교환하는 방식으로 작동합니다. 수신측(서버)에서 방정식의 나머지 절반인 개인 키를 보유하므로 데이터를 디코딩할 수 있습니다.

지금까지 정적 키를 사용하는 Rivest-Shamir-Adleman(RSA)이 지배적인 암호화 기술이었습니다. 즉, 서버가 통신용으로 지정된 키를 갖고 있는 방식입니다. 현재는 어떤 방식으로든 서버의 키가 손상되면 서버의 모든 통신이 노출됩니다. 이러한 문제를 해결하기 위해 많은 조직과 규제 기관에서 교환되는 각 통신에 대해 새로운 키가 생성되는 가장 일반적인 타원 곡선 디피-헬만(ECDHE) 임시 키 암호화 기술 사용을 의무화하는 방향으로 전환하고 있습니다.

기본 SSL

완전 순방향 비밀성(Perfect Forward Secrecy, PFS) 및 TLS 1.3

완전 순방향 비밀성

정적 키가 물리적 키와 같다고 생각해 보겠습니다. 키를 도난당하거나 누군가 복사한 경우, 키를 가진 사람은 잠겨 있는 모든 통신에 액세스할 수 있습니다. 이와 대조적으로, 임시 키는 모바일 앱에서 특정 교환 용도로 생성한 번호입니다. 번호를 도난당한 경우, 해당 교환의 잠금을 해제하는 용도로만 사용할 수 있습니다. 모든 다른 교환은 계속 보호됩니다. 이 완전 순방향 비밀성은 임시 키를 강력하게 해주는 특성입니다.

Google, Facebook, Mozilla 등을 포함한 테크놀로지 업계 정상급 기업들이 사용자에게 더 강력한 보안을 제공하기 위해 암호화에 임시 키를 사용하는 방향으로 전환한다고 발표하고 있습니다. IETF(Internet Engineering Task Force)의 최신 TLS 프로토콜 표준인 TLS 1.3은 임시 키 교환을 장려합니다.

주요 암호 지원

인라인 암호 해독 기능은 이미 TLS 1.3에 표시된 많은 주요 암호를 지원하고 있고, 그 외 암호들도 지속적으로 추가되고 있습니다.

지원되는 암호   KX AU ENC MAC
TLS13-AES-256-GCM-SHA384 TLSv1.3 - - AES-128-GCM AEAD
TLS13-CHACHA20-POLY1305-SHA256 TLSv1.3 - - AES-128-GCM AEAD
TLS13-AES-128-GCM-SHA256 TLSv1.3 - - CHACHA20-POLY1305 AEAD
TLS13-AES-128-CCM-8-SHA256 TLSv1.3 - - AES-128-CCM AEAD
TLS13-AES-128-CCM-SHA256 TLSv1.3 - - AES-128-CCM-8 AEAD
ECDHE-RSA-AES128-GCM-SHA256 TLSv1.2 ECDH RSA AESGCM(128) AEAD
ECDHE-ECDSA-AES128-SHA SSLv3 ECDH ECDSA AES(128) SHA1
ECDHE-RSA-AES256-SHA384 TLSv1.2 ECDH RSA AES(256) SHA384
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 ECDH ECDSA AES(256) SHA384
ECDHE-ECDSA-AES128-GCM-SHA256 TLSv1.2 ECDH ECDSA AESGCM(128) AEAD
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 ECDH RSA AESGCM(128) AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 ECDH ECDSA AESGCM(128) AEAD
DHE-RSA-AES128-GCM-SHA256 TLSv1.2 DH RSA AESGCM(128) AEAD
DHE-RSA-AES256-GCM-SHA384 TLSv1.2 DH RSA AESGCM(128) AEAD
ECDHE-RSA-AES128-SHA256 TLSv1.2 ECDH RSA AES(128) SHA256
ECDHE-ECDSA-AES128-SHA256 TLSv1.2 ECDH ECDSA AES(128) SHA256
ECDHE-RSA-AES128-SHA SSLv3 ECDH RSA AES(128) SHA1
DHE-RSA-AES256-SHA SSLv3 DH RSA AES(256) SHA1
ECDHE-RSA-DES-CBC3-SHA SSLv3 ECDH RSA 3DES(168) SHA1
ECDHE-ECDSA-DES-CBC3-SHA SSLv3 ECDH ECDSA 3DES(168) SHA1
AES128-GCM-SHA256 TLSv1.2 RSA RSA AESGCM(128) AEAD
AES256-GCM-SHA384 TLSv1.2 RSA RSA AESGCM(256) AEAD
AES128-SHA256 TLSv1.2 RSA RSA AESGCM(128) SHA256
AES256-SHA256 TLSv1.2 RSA RSA AES(256) SHA256
AES128-SHA SSLv3 RSA RSA AES(128) SHA1
AES256-SHA SSLv3 RSA RSA AES(256) SHA1
ECDHE-RSA-AES256-SHA SSLv3 ECDH RSA AES(256) SHA1
ECDHE-ECDSA-AES256-SHA SSLv3 ECDH ECDSA AES(256) SHA1
DHE-RSA-AES128-SHA256 TLSv1.2 DH RSA AES(128) SHA256
DHE-RSA-AES128-SHA SSLv3 DH RSA AES(128) SHA1
DHE-RSA-AES256-SHA256 TLSv1.2 DH RSA AES(256) SHA256
ECDHE-ECDSA-CHACHA20-POLY1305 TLSv1.2 ECDH ECDSA CHACHA20/POLY1305(256) AEAD
ECDHE-RSA-CHACHA20-POLY1305 TLSv1.2 ECDH RSA CHACHA20/POLY1305(256) AEAD
DHE-RSA-CHACHA20-POLY1305 TLSv1.2 DH RSA CHACHA20/POLY1305(256) AEAD
CAMELLIA128-SHA256 TLSv1.2 RSA RSA CAMELLIA(128) SHA256
CAMELLIA256-SHA256 TLSv1.2 RSA RSA CAMELLIA(256) SHA256
DHE-RSA-CAMELLIA128-SHA256 TLSv1.2 DH RSA CAMELLIA(128) SHA256
DHE-RSA-CAMELLIA256-SHA256 TLSv1.2 DH RSA CAMELLIA(256) SHA256

인라인 암호 해독을 사용한 인라인 보안

인라인 암호 해독 기능은 인라인 배포 용도의 키사이트 페일세이프 보안 아키텍처에 완벽하게 통합됩니다. 키사이트의 위협 인텔리전스 게이트웨이인 ThreatARMOR™와 결합된 인라인 암호 해독 기능은 지속적인 트래픽 검사와 거의 실시간에 가까운 복구를 보장하는 active-active 고가용성 구성을 통해 불량 인터넷 프로토콜(IP)을 차단하고, 암호화된 트래픽을 처리하며, 네트워크를 보호할 수 있는 더욱 강력한 인라인 아키텍처를 구축합니다.

인라인 보안 아키텍처

관련 자료

다른 도움이 필요하십니까?